CN105871846A - 一种组播组的管理方法及装置 - Google Patents

一种组播组的管理方法及装置 Download PDF

Info

Publication number
CN105871846A
CN105871846A CN201610200341.2A CN201610200341A CN105871846A CN 105871846 A CN105871846 A CN 105871846A CN 201610200341 A CN201610200341 A CN 201610200341A CN 105871846 A CN105871846 A CN 105871846A
Authority
CN
China
Prior art keywords
mac address
identification information
module
access
network device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610200341.2A
Other languages
English (en)
Inventor
王伟
梁玉洁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou H3C Technologies Co Ltd
Original Assignee
Hangzhou H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou H3C Technologies Co Ltd filed Critical Hangzhou H3C Technologies Co Ltd
Priority to CN201610200341.2A priority Critical patent/CN105871846A/zh
Publication of CN105871846A publication Critical patent/CN105871846A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/16Multipoint routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种组播组的管理方法及装置,所述方法包括:接收第一网络设备发送的报文,并获取第一网络设备的第一MAC地址;根据所述第一MAC地址、以及MAC地址和标识信息的对应关系,控制第一网络设备的访问。因此本发明可以优化组播组管理机制,使路由设备具备鉴别其他网络设备身份的能力,从而防止恶意攻击造成的组播业务中断、信息泄露、查询器及网络负担增大的问题,提高了组播组的安全性。

Description

一种组播组的管理方法及装置
技术领域
本发明涉及通信技术领域,尤其涉及一种组播组的管理方法及装置。
背景技术
目前在主机和与其直接相连的三层组播设备之间通常采用组播组的管理协议IGMP(Internet Group Management Protocol,互联网组管理协议)或MLD(Multicast Listener Discovery Protocol,组播侦听者发现协议),协议规定了主机与三层组播设备之间建立和维护组播组成员关系的机制。当共享网段上存在多个IGMP/MLD路由器时,根据组播组管理协议通常会选举出一个路由器来充当查询器,用于周期性发送查询报文,维护本地网段内组播组成员,以及向主机转发组播数据等。
然而由于IGMP/MLD协议基本上是一个单向驱动协议,IGMP/MLD路由器的动作、行为完全根据所收到的IGMP/MLD协议报文而进行,IGMP/MLD路由器不具备鉴别其他IGMP/MLD路由器及主机身份的能力。
发明内容
有鉴于此,本发明提供一种组播组的管理方法及装置来解决路由器不具备鉴别其他路由器及主机身份的能力而导致的组播组安全性较差的问题。
具体地,本发明是通过如下技术方案实现的:
本发明提供一种组播组的管理方法,所述方法包括:
接收第一网络设备发送的报文,并获取第一网络设备的第一MAC地址;
根据所述第一MAC地址、以及MAC地址和标识信息的对应关系,控制第一网络设备的访问。
进一步的,获取所述MAC地址和标识信息的对应关系的方法包括:
获取第二网络设备的第二MAC地址,对第二MAC地址设置标识信息;
其中,所述对第二MAC地址设置标识信息,包括:
对第二MAC地址设置第一标识信息,以获取第二MAC地址和第一标识信息的第一对应关系,所述第一标识信息用于表示拒绝访问;或者,
对第二MAC地址设置第二标识信息,以获取第二MAC地址和第二标识信息的第二对应关系,所述第二标识信息用于表示允许访问。
进一步的,所述获取第二网络设备的第二MAC地址,具体包括:
设置预设时间内接收报文的预设次数,当在预设时间内接收第二网络设备发送的报文次数不小于所述预设次数时,获取所述第二网络设备的第二MAC地址;
所述对第二MAC地址设置标识信息,具体为:
对获取的所述第二MAC地址设置第一标识信息。
进一步的,所述根据所述第一MAC地址,以及MAC地址和标识信息的对应关系,控制第一网络设备的访问,包括:
判断第一对应关系中是否存在与所述第一MAC地址匹配的MAC地址;
若存在,拒绝第一网络设备的访问。
进一步的,所述获取第二网络设备的第二MAC地址,具体包括:
将从DHCP服务器获取的网络设备的MAC地址作为第二网络设备的第二MAC地址;
所述对第二MAC地址设置标识信息,具体为:
对获取的所述第二MAC地址设置第二标识信息。
进一步的,所述根据所述第一MAC地址,以及MAC地址与标识信息的对应关系,控制第一网络设备的访问,包括:
判断所述第二对应关系中是否存在与所述第一MAC地址匹配的MAC地址;
若存在,允许第一网络设备的访问。
基于相同的构思,本发明还提供一种组播组的管理装置,所述装置包括:
接收模块,用于接收第一网络设备发送的报文;
获取模块,用于从所述报文中获取第一网络设备的第一MAC地址;
控制模块,用于根据所述第一MAC地址、以及MAC地址和标识信息的对应关系,控制第一网络设备的访问。
进一步的,所述装置还包括:标识模块和关系模块,其中,
所述获取模块,还用于获取第二网络设备的第二MAC地址;
所述标识模块,用于对所述获取模块获取的第二MAC地址设置标识信息;
所述关系模块,用于当标识模块对所述第二MAC地址设置第一标识信息时,获取所述第二MAC地址和第一标识信息的第一对应关系,其中,所述第一标识信息用于表示拒绝访问;或者,
还用于当标识模块对所述第二MAC地址设置第二标识信息时,获取所述第二MAC地址和第二标识信息的第二对应关系,其中,所述第二标识信息用于表示允许访问。
进一步的,所述装置还包括:设置模块和检测模块,所述获取模块还包括第一获取子模块,其中,
所述设置模块,用于设置预设时间内接收报文的预设次数;
所述检测模块,用于检测预设时间内接收第二网络设备发送的报文次数;
所述第一获取子模块,还用于当所述检测模块检测出在预设时间内接收第二网络设备发送的报文次数不小于所述预设次数时,获取所述第二网络设备的第二MAC地址;
所述标识模块,还用于对所述第一获取子模块获取的所述第二MAC地址设置第一标识信息。
进一步的,所述装置还包括:
判断模块,用于判断第二MAC地址和第一标识信息的第一对应关系中是否存在与所述第一MAC地址匹配的MAC地址;
若存在,则所述控制模块拒绝第一网络设备的访问。
进一步的,所述获取模块还包括第二获取子模块,
所述第二获取子模块,还用于从DHCP服务器获取网络设备的MAC地址,并将获取的所述MAC地址作为第二网络设备的第二MAC地址;
所述标识模块,还用于对第二获取子模块获取的所述第二MAC地址设置第二标识信息。
进一步的,所述装置还包括:
判断模块,用于判断所述第二MAC地址和第二标识信息的第二对应关系中是否存在与所述第一MAC地址匹配的MAC地址;
若存在,则所述控制模块允许第一网络设备的访问。
由此可见,本发明实施例第一路由设备可根据获取的第一网络设备的MAC地址,以及MAC地址和标识信息的对应关系,控制第一网络设备的访问,具体的,控制第一网络设备允许访问第一路由设备,或者控制第一网络设备不允许访问第一路由设备。因此本发明可以优化组播组管理机制,使路由设备具备鉴别网络设备身份的能力,从而防止恶意攻击造成的组播业务中断、信息泄露、查询器及网络负担增大的问题,提高了组播组的安全性。
附图说明
图1是本发明一种示例性实施方式中的一种组播组的管理方法的处理流程图;
图2是本发明一种示例性实施方式中的另一种组播组的管理方法的处理流程图;
图3是本发明一种示例性实施方式中的组网示意图;
图4a本发明一种示例性实施方式中的组播组的管理装置所在第一路由设备的硬件结构图;
图4b本发明一种示例性实施方式中的一种组播组的管理装置的逻辑结构图;
图5a本发明一种示例性实施方式中的组播组的管理装置所在第二路由设备的硬件结构图;
图5b本发明一种示例性实施方式中的另一种组播组的管理装置的逻辑结构图。
具体实施方式
当共享网段上存在多个路由器时,基于IGMP/MLD协议的查询器选举过程如下:多个路由器在初始时都认为自己是查询器,因此会向该共享网段内的所有主机和路由器发送查询报文;其它路由器在收到该报文后,会将报文的源IP地址与自己的接口地址作比较;通过比较选出IP地址最小的路由器作为查询器,其它路由器则为非查询器。
当主机首次加入某个组播组时,主动向其要加入的组播组发送成员关系报告报文,查询器收到成员关系报告报文后,会维护或更新对应的组播组信息;另外,查询器还会周期性发送查询报文,主机收到查询报文后,回应成员关系报告报文,以此维持查询器上所维护的组播组信息。
然而由于IGMP/MLD协议基本上是一个单向驱动协议,因此可能会导致组播组的安全隐患,例如:
若有恶意攻击者假冒路由器发送IP地址较小的查询报文,则本地网络中原有的查询器会变为非查询器,不再周期性发送查询报文和转发组播数据,导致网络中原有组播流量转发中断;
若有恶意攻击者向查询器发送某些组播组的成员关系报告报文,查询器就会向攻击者转发对应组播组的组播数据,可能造成信息泄露;
若有恶意攻击者向查询器发送某些已有组播组的离开组报文,并不停的攻击,会使得查询器反复对这些组播组进行特定查询,合法主机反复进行响应,从而增加网络上报文的传送量,加重了网络的负担及查询器的负担,也有可能导致查询器无法及时处理新的组播组加入或离开请求,甚至引发故障。
为了解决现有技术存在的问题,本发明提供一种组播组的管理方法及装置,可以根据获取第一网络设备的第一MAC地址,以及MAC地址和标识信息的对应关系,控制第一网络设备的访问。因此本发明可以优化组播组管理机制,使路由设备具备鉴别其他网络设备身份的能力,从而防止恶意攻击造成的组播业务中断、信息泄露、查询器及网络负担增大的问题,提高了组播组的安全性。
请参考图1,是本发明一种示例性实施方式中的一种组播组的管理方法的处理流程图,其中该方法可应用于第一路由设备,所述第一路由设备可以是现有组播网络中的任意一台路由设备,也可以是额外增加的一台路由设备。所述方法包括:
步骤101、接收第一网络设备发送的报文,并从所述报文中获取第一网络设备的第一MAC地址;
在本实施中,所述第一网络设备包括但不限于路由设备或终端设备,其中所述终端设备可以为服务器或主机。
步骤102、根据所述第一MAC地址、以及MAC地址和标识信息的对应关系,控制第一网络设备的访问。
在本实施例中MAC地址和标识信息的对应关系可以是第一路由设备自身生成的,也可以是从其它路由设备(为方便描述以下将其它路由设备称为第二路由设备)获取\接收的。
进一步的,若所述的对应关系是第一路由设备自身生成的,第一路由设备可以将该自身生成的对应关系发送给第二路由设备,以使第二路由设备根据接收的所述对应关系控制网络设备的访问(具体的,第二路由设备根据接收的所述对应关系控制网络设备的访问的过程与第一路由设备根据所述对应关系控制第一网络设备的访问过程类似)。
另外,需要说明的是,在本申请采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。
进一步的,在本申请中,第一网络设备可以为一个网络设备,或者为多个网络设备的集合,同理,第二网络设备类同。
在本发明可选的实施例中,第一路由设备可以根据MAC地址和标识信息的对应关系,生成控制规则,所述控制规则包括针对所述对应关系的处理动作,其中,处理动作包括拒绝访问、允许访问等。
在一种实现方式中,若MAC地址和标识信息的对应关系为,第二MAC地址和第一标识信息的第一对应关系时,其中,第一标识信息用于表示拒绝访问,则该控制规则为拒绝与第一对应关系中第二MAC地址匹配一致的MAC地址所对应的网络设备访问第一路由设备。
在另一种实现方式中,若MAC地址和标识信息的对应关系为,第二MAC地址和第二标识信息的第二对应关系时,其中,第二标识信息用于表示允许访问,则该控制规则为允许与第一对应关系中第二MAC地址匹配一致的MAC地址所对应的网络设备访问第一路由设备。
具体的,在第一路由设备收到第一网络设备发送的报文时,从该报文中获取第一网络设备的第一MAC地址,根据第一MAC地址,以及MAC地址和标识信息的对应关系,确定相应的控制规则,根据该控制规则拒绝或允许第一网络设备访问第一路由设备。
由此可见,本发明实施例第一路由设备可根据获取的第一网络设备的MAC地址,以及MAC地址和标识信息的对应关系,控制第一网络设备的访问,具体的,控制第一网络设备允许访问第一路由设备,或者控制第一网络设备不允许访问第一路由设备。因此本发明可以优化组播组管理机制,使路由设备具备鉴别网络设备身份的能力,从而防止恶意攻击造成的组播业务中断、信息泄露、查询器及网络负担增大的问题,提高了组播组的安全性。
在本发明可选的实施例中,提供了一种获取MAC地址和标识信息的对应关系的方法,包括:
获取第二网络设备的第二MAC地址,对第二MAC地址设置标识信息,以获取第二MAC地址和标识信息的对应关系。
其中,获取第二网络的第二MAC地址,对第二MAC地址设置标识信息的方法,包括,通过在路由设备中设置的方式获取,或者路由设备通过相应规则自动获取。
当为获取的第二MAC地址设置第一标识信息时,获取第二MAC地址和第一标识信息的第一对应关系,其中,第一标识信息用于表示拒绝访问。
当为获取的第二MAC地址设置第二标识信息时,获取第二MAC地址和第二标识信息的第二对应关系,其中,第二标识信息用于表示允许访问。
进一步的,第一路由设备可以根据上述方法自身生成MAC地址和标识信息的对应关系,或者由第二路由设备根据上述的方法生成MAC地址和标识信息的对应关系,并由第二路由设备将该对应关系发送给第一路由设备,以使第一路由设备根据接收到的该对应关系控制第一网络设备的访问。
在本实施例中,提供了一种路由设备通过相应规则自动获取MAC地址和标识信息的对应关系的方法,其中,所述的相应规则包括预置的条件规则或获取规则,为方便说明,以该方法在第一路由设备中实现为例,具体的:
一种根据预置的条件规则获取MAC地址和标识信息的对应关系的实施例为:
第一路由设备可以设置预设时间以及接收报文的预设次数,其中,所述设置接收报文的预设次数,具体可以为设置接收指定报文的预设次数(例如设置接收相同或不同协议报文的预设次数),当检测到在预设时间内接收到所述第二网络设备发送的报文的次数超过该预设次数时,可以怀疑该第二网络设备为非法用户,从而获取所述第二网络设备的第二MAC地址,并对所述第二MAC地址设置第一标识信息,并生成第二MAC地址和第一标识信息的第一对应关系,其中,该第一标识信息用于表示拒绝访问。
进一步的,第一路由设备可以将生成的该第一对应关系发送给第二路由设备,以使第二路由设备根据该第一对应关系拒绝访问自身的第二网络设备。
一种根据预置的获取规则获取MAC地址和标识信息的对应关系的方法为:
第一路由设备从DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)服务器中获取网络设备的MAC地址,并将获取MAC地址作为第二网络设备的第二MAC地址,由于DHCP服务器中记录的MAC地址通常为合法用户的MAC地址,因此对获取的第二MAC地址设置第二标识信息,并生成第二MAC地址和第二标识信息的第二对应关系,其中第二标识信息用于表示允许访问。
具体的,第一路由设备可向DHCP服务器发送获取网络设备的MAC地址的请求报文;然后接收DHCP服务器针对所述请求报文发送的反馈报文,获取所述反馈报文中的MAC地址,并将获取的MAC地址作为第二网络设备的第二MAC地址。当所述第一路由设备与DHCP服务器位于一台物理设备中,该第一路由设备可以通过发送控制指令获取DHCP服务器中的第一网络设备的MAC地址。
进一步的,第一路由设备可以将生成的该第二对应关系发送给第二路由设备,以使第二路由设备根据该第二对应关系允许访问自身的第二网络设备。
在本发明提供的一种组播组的管理方法的实施例中,如图2所示,所述方法包括:
步骤201,第一路由设备接收第一网络设备发送的报文,并从所述报文中获取第一网络设备的第一MAC地址;
步骤202,根据第一网络设备的第一MAC地址,以及MAC地址和标识信息的对应关系,控制第一网络设备的访问。
在本实施例中,第一路由设备获取第一MAC地址后,判断MAC地址和标识信息的对应关系中是否存在与该第一MAC地址匹配一致的MAC地址,并根据判断结果控制与该第一MAC地址对应的第一网络设备的访问。
进一步的,第一路由设备根据所述判断结果,生成相应的控制规则,以使第一路由设备根据该控制规则,允许或拒绝第一网络设备的访问。
一种实施例为,当第一路由设备判断出第二MAC地址和第一标识信息的第一对应关系中存在与所述第一MAC地址匹配的MAC地址时,第一路由设备根据该判断结果,生成拒绝访问的控制规则,根据该控制规则拒绝第一网络设备的访问。
进一步的,在本实施例中,当第一路由设备判断出第二MAC和第一标识信息的第一对应关系中不存在与所述第一MAC地址匹配的MAC地址时,第一路由设备根据该判断结果,生成允许访问的控制规则,根据该控制规则允许第一网络设备的访问。
另一种实施例为,当第一路由设备判断出第二MAC地址和第二标识信息的第二对应关系中存在与所述第一MAC地址匹配的MAC地址时,第一路由设备根据该判断结果,生成允许访问的控制规则,根据该控制规则允许第一网络设备的访问。
进一步的,在本实施例中,当第一路由设备判断出第二MAC地址和第二标识信息的第二对应关系中不存在与所述第一MAC地址匹配的MAC地址时,生成拒绝访问的控制规则,根据该控制规则拒绝第一网络设备的访问。
由此可见,本实施例中,第一路由设备通过获取第一网络设备的第一MAC地址,并判断MAC地址和标识信息的对应关系中是否存在与所述第一MAC地址一致的MAC地址,进而针对第一网络设备生成相应的控制规则,并根据该控制规则允许或拒绝第一网络设备的访问。因此本发明可以优化组播组管理机制,使路由设备具备鉴别其他路由设备及主机身份的能力,从而防止恶意攻击造成的组播业务中断、信息泄露、查询器及网络负担增大的问题,提高了组播组的安全性。
为使本发明的目的、技术方案及优点更加清楚明白,下面对本发明该方案作进一步地详细说明。
请参考图3,是本发明一种示例性实施方式中的一种组网示意图,该组播网络中包括路由器R1、R2、R3,以及主机A和主机B。该组播网络中还包括DHCP服务器,所述DHCP服务器中包括主机A的MAC地址MAC-A在本实施例中将具有本发明所述的组播组管理功能的模块称为控制器,该控制器可部署在DHCP服务器中。
管理员可以预先在该控制器中设置用于记载对应关系的列表(需说明的是,以列表方式记录对应关系仅为一种实现方式,并不限制只能通过列表记录),进一步的,设置的列表可以包括多种,其中,第一列表包括合法的网络设备的MAC地址,第二列表包括非法的网络设备的MAC地址。
具体的,结合应用场景,在第二列表中配置路由器R3的MAC地址MAC-3(需要说明的是,在本实施例中公开了通过配置的方式在第二列表中增加MAC地址,若通过自动获取的方式获取网络设备的MAC地址,可以通过判断网络设备的MAC地址是否被记录在DHCP服务器中,当判断出该网络设备的MAC地址未被记录在DHCP服务器中,则在第二列表中增加该网络设备的MAC地址)。
控制器获取DHCP服务器中的客户端对应的MAC地址MAC-A,然后将该MAC-A加入第一列表。此外,当控制器检测到主机B在一定时间内频繁发送IGMP/MLD离开组报文时,可以将主机B的MAC地址MAC-B添加在第二列表中。控制器获取第二列表和第一列表中的MAC地址,并为每个MAC地址设置Type标记,其中控制器可以对第二列表中的MAC地址设置Type=N1的标记,对第一列表中的MAC地址设置Type=N2的标记。管理员还可以为第二列表和第一列表设置对应的控制规则,例如对属于第一列表的MAC地址对应的报文允许访问,对属于第二列表的MAC地址对应的报文拒绝访问。第一列表和第二列表的维护形式如表1所示,其中permit表示为第一列表对应的处理动作,deny表示为第二列表对应的处理动作。
Type MAC地址 Action
N1 MAC-3 deny
N1 MAC-B deny
N2 MAC-A permit
表1
控制器可以根据表1,拒绝路由器R3以及主机B的访问。
进一步的,控制器可以通过IGMP消息将表1通告至组播组中的路由器R1和R2。当R1、R2收到表1后,可以按照约定的规则通过不同的Type标记来区分第一列表和第二列表。然后R1、R2可以根据表1向驱动下发对应的控制规则,对源MAC属于第一列表中的报文进行放行处理(即允许访问),对源MAC属于第二列表中的报文进行丢弃处理(即拒绝访问)。
后续,当路由器收到组播报文后,可以通过底层驱动根据控制规则进行判断和处理。举例来讲,当选举查询器时,若R1、R2收到R3发送的查询报文时,由于R3的MAC地址MAC-3属于第二列表,因此R1、R2中的底层驱动则可以根据控制规则将所述R3发送的查询报文丢弃,从而可以避免R3通过假冒路由器发送IP地址较小的查询报文影响查询器选举结果。当R2收到主机A、主机B发送的报文A、报文B时,可以根据控制规则对报文A进行放行;对报文B进行丢弃。因此本发明可以保证有合法的路由器所发送的查询报文,才会上送IGMP/MLD模块,触发新的IGMP/MLD查询器选举;只有合法的主机所发送的IGMP/MLD成员关系报告报文和离开组报文,才会上送IGMP/MLD查询器,触发组播组添加或删除操作。
基于相同的构思,本发明还提供一种组播组的管理装置,该装置可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,本发明的组播组的管理装置作为一个逻辑意义上的装置,是通过其所在设备的CPU将存储器中对应的计算机程序指令读取后运行而成。
请参考图4a及图4b,是本发明一种示例性实施方式中的一种组播组的管理装置400,所述装置应用于第一路由设备中该装置基本运行环境包括CPU,存储器以及其他硬件,从逻辑层面上来看,该装置400包括:
接收模块401,用于接收第一网络设备发送的报文;
获取模块402,用于从所述报文中获取第一网络设备的第一MAC地址;
控制模块403,用于根据所述第一MAC地址、以及MAC地址和标识信息的对应关系,控制第一网络设备的访问。
可选的,所述获取单元402,还用于获取第二网络设备的第二MAC地址;
标识模块404,用于对所述获取模块获取的第二MAC地址设置标识信息;
关系模块405,用于当标识模块对所述第二MAC地址设置第一标识信息时,获取所述第二MAC地址和第一标识信息的第一对应关系,所述第一标识信息用于表示拒绝访问。
或者,所述关系模块405,用于当标识模块对所述第二MAC地址设置第二标识信息时,获取所述第二MAC地址和第二标识信息的第二对应关系,所述第二标识信息用于表示允许访问。
其中,所述获取模块402可以包括第一获取子模块、第二获取子模块(图4b中均未示出),所述标识模块404根据不同的获取子模块获取的第二MAC地址设置相应的标识信息,例如,对第一获取子模块获取的第二MAC地址设置第一标识信息,对第二获取子模块获取的第二MAC地址设置第二标识信息。
其中,获取第二网络的第二MAC地址,包括,通过在第一路由设备中设置的第二MAC地址,并通过获取模块402获取第二MAC地址,或者第一路由设备的获取模块402通过相应规则自动获取第二MAC地址。
具体的,一种通过相应规则自动获取第二MAC地址的实施例,包括,
设置模块406,用于设置预设时间内接收报文的预设次数;
检测模块407,用于检测预设时间内接收第二网络设备发送的报文次数;
第一获取子模块,用于当所述检测模块407检测出在预设时间内接收第二网络设备发送的报文次数不小于所述预设次数时,获取所述第二网络设备的第二MAC地址;
所述标识模块404,还用于对第一获取子模块获取的所述第二MAC地址设置第一标识信息。
在另一种通过相应规则自动获取第二MAC地址的实施例,包括,
第二获取子模块,用于从DHCP服务器获取的网络设备的MAC地址,并将获取的所述MAC地址作为第二网络设备的第二MAC地址;
标识模块404,还用于对第二获取子模块获取的所述第二MAC地址设置第二标识信息。
进一步的,当第一路由设备的获取模块402获取第一网络设备的第一MAC地址后,通过第一路由设备的判断模块408,将第一MAC地址与自身记录的MAC地址和标识信息的对应关系进行匹配,并判断匹配结果,控制模块403,具体用于根据判断模块408的判断结果控制第一网络设备的访问。
具体包括,判断模块408,用于判断第二MAC地址和第一标识信息的第一对应关系中是否存在与所述第一MAC地址匹配的MAC地址;
若存在,则所述控制模块403拒绝第一网络设备的访问。
或者,判断模块408,用于判断所述第二MAC地址和第二标识信息的第二对应关系中是否存在与所述第一MAC地址匹配的MAC地址;
若存在,则所述控制模块403允许第一网络设备的访问。
进一步的,所述装置还可包括发送模块409,用于向其他路由设备发送关系模块405生成的MAC地址和标识信息的对应关系,以使其他路由设备根据接收到的所述对应关系控制网络设备的访问。
请参考图5a及图5b,是本发明一种示例性实施方式中的另一种组播组的管理装置500,所述装置应用于第二路由设备中该装置基本运行环境包括CPU,存储器以及其他硬件,从逻辑层面上来看,该装置500包括:
接收单元501,用于接收第一路由设备发送的第一网络设备的MAC地址和标识信息的对应关系;
控制单元502,用于根据所述对应关系控制第二网络设备的访问。
由此可见,本发明实施例第一路由设备可根据获取的第一网络设备的MAC地址,以及MAC地址和标识信息的对应关系,控制第一网络设备的访问,具体的,控制第一网络设备允许访问第一路由设备,或者控制第一网络设备不允许访问第一路由设备。因此本发明可以优化组播组管理机制,使路由设备具备鉴别网络设备身份的能力,从而防止恶意攻击造成的组播业务中断、信息泄露、查询器及网络负担增大的问题,提高了组播组的安全性。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。

Claims (12)

1.一种组播组的管理方法,其特征在于,所述方法包括:
接收第一网络设备发送的报文,并获取第一网络设备的第一MAC地址;
根据所述第一MAC地址、以及MAC地址和标识信息的对应关系,控制第一网络设备的访问。
2.如权利要求1所述的方法,其特征在于,获取所述MAC地址和标识信息的对应关系的方法包括:
获取第二网络设备的第二MAC地址,对第二MAC地址设置标识信息;
其中,所述对第二MAC地址设置标识信息,包括:
对第二MAC地址设置第一标识信息,以获取第二MAC地址和第一标识信息的第一对应关系,所述第一标识信息用于表示拒绝访问;或者,
对第二MAC地址设置第二标识信息,以获取第二MAC地址和第二标识信息的第二对应关系,所述第二标识信息用于表示允许访问。
3.如权利要求2所述的方法,其特征在于,所述获取第二网络设备的第二MAC地址,具体包括:
设置预设时间内接收报文的预设次数,当在预设时间内接收第二网络设备发送的报文次数不小于所述预设次数时,获取所述第二网络设备的第二MAC地址;
所述对第二MAC地址设置标识信息,具体为:
对获取的所述第二MAC地址设置第一标识信息。
4.如权利要求3所述的方法,其特征在于,所述根据所述第一MAC地址,以及MAC地址和标识信息的对应关系,控制第一网络设备的访问,包括:
判断第一对应关系中是否存在与所述第一MAC地址匹配的MAC地址;
若存在,拒绝第一网络设备的访问。
5.根据权利要求2所述的方法,其特征在于,所述获取第二网络设备的第二MAC地址,具体包括:
将从DHCP服务器获取的网络设备的MAC地址作为第二网络设备的第二MAC地址;
所述对第二MAC地址设置标识信息,具体为:
对获取的所述第二MAC地址设置第二标识信息。
6.如权利要求5所述的方法,其特征在于,所述根据所述第一MAC地址,以及MAC地址与标识信息的对应关系,控制第一网络设备的访问,包括:
判断所述第二对应关系中是否存在与所述第一MAC地址匹配的MAC地址;
若存在,允许第一网络设备的访问。
7.一种组播组的管理装置,其特征在于,所述装置包括:
接收模块,用于接收第一网络设备发送的报文;
获取模块,用于从所述报文中获取第一网络设备的第一MAC地址;
控制模块,用于根据所述第一MAC地址、以及MAC地址和标识信息的对应关系,控制第一网络设备的访问。
8.如权利要求7所述的装置,其特征在于,所述装置还包括:标识模块和关系模块,其中,
所述获取模块,还用于获取第二网络设备的第二MAC地址;
所述标识模块,用于对所述获取模块获取的第二MAC地址设置标识信息;
所述关系模块,用于当标识模块对所述第二MAC地址设置第一标识信息时,获取所述第二MAC地址和第一标识信息的第一对应关系,其中,所述第一标识信息用于表示拒绝访问;或者,
还用于当标识模块对所述第二MAC地址设置第二标识信息时,获取所述第二MAC地址和第二标识信息的第二对应关系,其中,所述第二标识信息用于表示允许访问。
9.如权利要求8所述的装置,其特征在于,所述装置还包括:设置模块和检测模块,所述获取模块还包括第一获取子模块,其中,
所述设置模块,用于设置预设时间内接收报文的预设次数;
所述检测模块,用于检测预设时间内接收第二网络设备发送的报文次数;
所述第一获取子模块,还用于当所述检测模块检测出在预设时间内接收第二网络设备发送的报文次数不小于所述预设次数时,获取所述第二网络设备的第二MAC地址;
所述标识模块,还用于对所述第一获取子模块获取的所述第二MAC地址设置第一标识信息。
10.如权利要求9所述的装置,其特征在于,所述装置还包括:
判断模块,用于判断第二MAC地址和第一标识信息的第一对应关系中是否存在与所述第一MAC地址匹配的MAC地址;
若存在,则所述控制模块拒绝第一网络设备的访问。
11.如权利要求8所述的装置,其特征在于,所述获取模块还包括第二获取子模块,
所述第二获取子模块,还用于从DHCP服务器获取网络设备的MAC地址,并将获取的所述MAC地址作为第二网络设备的第二MAC地址;
所述标识模块,还用于对第二获取子模块获取的所述第二MAC地址设置第二标识信息。
12.如权利要求11所述的装置,其特征在于,所述装置还包括:
判断模块,用于判断所述第二MAC地址和第二标识信息的第二对应关系中是否存在与所述第一MAC地址匹配的MAC地址;
若存在,则所述控制模块允许第一网络设备的访问。
CN201610200341.2A 2016-03-31 2016-03-31 一种组播组的管理方法及装置 Pending CN105871846A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610200341.2A CN105871846A (zh) 2016-03-31 2016-03-31 一种组播组的管理方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610200341.2A CN105871846A (zh) 2016-03-31 2016-03-31 一种组播组的管理方法及装置

Publications (1)

Publication Number Publication Date
CN105871846A true CN105871846A (zh) 2016-08-17

Family

ID=56626750

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610200341.2A Pending CN105871846A (zh) 2016-03-31 2016-03-31 一种组播组的管理方法及装置

Country Status (1)

Country Link
CN (1) CN105871846A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112822097A (zh) * 2019-11-15 2021-05-18 华为技术有限公司 报文转发的方法、第一网络设备以及第一设备组

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2073457A1 (en) * 2006-12-31 2009-06-24 Huawei Technologies Co., Ltd. A method and apparatus for preventing igmp message attack
CN101827037A (zh) * 2010-05-20 2010-09-08 中兴通讯股份有限公司 组播数据流的发送方法、装置和二层交换设备
CN102164075A (zh) * 2011-03-18 2011-08-24 杭州华三通信技术有限公司 一种因特网协议视频监控方法和接入层交换机
CN102368707A (zh) * 2011-10-31 2012-03-07 华为技术有限公司 一种组播控制的方法、设备及系统
CN102546666A (zh) * 2012-02-28 2012-07-04 神州数码网络(北京)有限公司 防止igmp欺骗和攻击的方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2073457A1 (en) * 2006-12-31 2009-06-24 Huawei Technologies Co., Ltd. A method and apparatus for preventing igmp message attack
CN101827037A (zh) * 2010-05-20 2010-09-08 中兴通讯股份有限公司 组播数据流的发送方法、装置和二层交换设备
CN102164075A (zh) * 2011-03-18 2011-08-24 杭州华三通信技术有限公司 一种因特网协议视频监控方法和接入层交换机
CN102368707A (zh) * 2011-10-31 2012-03-07 华为技术有限公司 一种组播控制的方法、设备及系统
CN102546666A (zh) * 2012-02-28 2012-07-04 神州数码网络(北京)有限公司 防止igmp欺骗和攻击的方法及装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112822097A (zh) * 2019-11-15 2021-05-18 华为技术有限公司 报文转发的方法、第一网络设备以及第一设备组

Similar Documents

Publication Publication Date Title
CN101415012B (zh) 一种防御地址解析协议报文攻击的方法和系统
EP2612488B1 (en) Detecting botnets
US7814311B2 (en) Role aware network security enforcement
US6745333B1 (en) Method for detecting unauthorized network access by having a NIC monitor for packets purporting to be from itself
US7823202B1 (en) Method for detecting internet border gateway protocol prefix hijacking attacks
US10601766B2 (en) Determine anomalous behavior based on dynamic device configuration address range
US8107396B1 (en) Host tracking in a layer 2 IP ethernet network
US20080253380A1 (en) System, method and program to control access to virtual lan via a switch
US9444821B2 (en) Management server, communication cutoff device and information processing system
US8082333B2 (en) DHCP proxy for static host
CN101674306B (zh) 地址解析协议报文处理方法及交换机
CN107241313B (zh) 一种防mac泛洪攻击的方法及装置
US10397225B2 (en) System and method for network access control
CN101827138A (zh) 一种优化的ipv6过滤规则处理方法和设备
CN107690004B (zh) 地址解析协议报文的处理方法及装置
KR101064382B1 (ko) 통신 네트워크에서의 arp 공격 차단 시스템 및 방법
CN102347903B (zh) 一种数据报文转发方法、装置及系统
US7551559B1 (en) System and method for performing security actions for inter-layer binding protocol traffic
US9686311B2 (en) Interdicting undesired service
CN108650237B (zh) 一种基于存活时间的报文安全检查方法及系统
CN113014530B (zh) Arp欺骗攻击防范方法及系统
CN105871846A (zh) 一种组播组的管理方法及装置
TW201806360A (zh) 控管物聯網設備IPv6連網之系統
US9712541B1 (en) Host-to-host communication in a multilevel secure network
CN106506410B (zh) 一种安全表项建立方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No.

Applicant after: Xinhua three Technology Co., Ltd.

Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No.

Applicant before: Huasan Communication Technology Co., Ltd.

CB02 Change of applicant information
RJ01 Rejection of invention patent application after publication

Application publication date: 20160817

RJ01 Rejection of invention patent application after publication